Multi dintre noi lucram intr-o maniera remote, facem telemunca, in special in contextul actual.
Telemunca reprezinta capabilitatea unui angajat, a unui contractor, a unui partener de afaceri sau a unui alt utilizator de a isi îndeplini sarcinile din locații diferite de cea in care isi desfasoara activitatea organizatia cu care colaboreaza.
Cei care muncesc remote folosesc diferite dispozitive, care se impart de obicei in doua mari categorii:
- PC-uri, adica desktop-uri si laptop-uri care ruleaza sisteme de operare precum Windows, Apple OS X sau o “aroma” de Linux
- dispozitive mobile, care nu sunt altceva decat computere in miniatura, precum smartphone-uri si tablete, care ruleaza sisteme de operare ca Apple iOS sau Google Android.
De la an la an diferentele functionale dintre aceste categorii de dispozitive scad din ce in ce mai mult. In ciuda acestui lucru, in ciuda faptului ca ne putem desfasura activitatea remote pe un alt device decat traditionalul PC, metodele de securitate pentru “noile” dispozitive mobile sunt de obicei foarte diferite si, adeseori, neglijate. Acest aspect poate fi deosebit de periculos pentru o organizatie care poate cadea victima unui atac care are ca obiectiv, de exemplu, degradarea serviciilor sau a activitatii prestate de companie, furt de informatii cu caracter secret sau confidential sau defaimare publica.
Indiferent de dimensiunea unei retele, mai extinsa sau mai restransa geografic, cu un numar mai mare sau mai mic de dispozitive, cu aplicatii on-premises sau in cloud, acea retea are nevoie de securitate. Pentru a putea minimiza riscurile si pentru a restrange suprafata de atac care poate fi exploatata de “actorii malitiosi”, primul pas pe care trebuie sa il facem este evaluarea retelei si a modului in care aceasta este accesata si folosita de utilizatori, cu evidentierea punctelor slabe.
De indata ce suntem constienti de aceste puncte slabe, putem sa le adresam si sa le remediem. Dendrio este partenerul alaturi de care veti putea incepe aceasta calatorie.
Tinte pentru atacatori
Organizatia trebuie sa identifice acele bunuri care pot deveni tinte pentru atacatori. De regula, bunurile se impart in trei categorii:
- dispozitive: atat cele de infrastructura, cat si cele de utilizator
- Informatie: atat informatia proprie, cat si informatii despre partenerii de afaceri
- oameni: angajati proprii, colaboratori, parteneri
Modul in care reteaua si resursele sale sunt accesate trebuie sa se rasfranga asupra tuturor partile implicate. Organizatia trebuie sa se asigure ca si tertii cu care colaboreaza respecta politicile de acces si de securitate atunci cand acceseaza resursele organizatiei.
Principalele amenintari pentru dispozitivele unui “teleworker”
Malware, aici avem triada binecunoscuta formata din virusi, viermi si cai troieni, dar trebuie mentionate si programele de tip spyware si bot; malware-ul poate ajunge pe dispozitiv prin diverse mijloace ca deschiderea unui atasament malitios dintr-un mesaj de tip email, accesarea unui URL cu redirectionarea utilizatorului catre site-ul atacatorului, retele sociale prin distribuirea de fisiere corupte, instalarea patch-uri/update-uri de software compromise sau instant messaging prin file sharing (imagini, documente, URL-uri) sau prin medii de stocare portabile ca stick-uri USB sau harddisk-uri externe infectate.
Pierderea sau furtul dispozitivului, cineva cu acces fizic la dispozitiv are destule optiuni la dispozitie pentru a accesa si pentru a copia informatia stocata sau pentru a instala malware care sa ii permita atacatorului sa acceseze date trimise sau primite de catre dispozitiv, inclusiv parole.
Pentru atacator se prezinta si mai multe oportunitati daca angajatul acceseaza resurse din interiorul companiei intr-o maniera remote sau daca angajatul acceseaza local reteaua companiei de pe un dispozitiv compromis. Dispozitivul utilizatorului trebuie privit ca o extensie a retelei organizatiei, nu se mai pot impune limite clare pentru ce puteam numi candva perimetrul retelei.
Daca dispozitivul nu este securizat in mod corespunzator, atunci acesta va expune nu doar informatia accesata de utilizator, ci si alte sisteme si retele de-ale companiei. De aceea, este imperios ca aceste dispozitive de telemunca sa fie securizate in mod corespunzator si aceasta securitate trebuie mentinuta constant si actualizata in mod periodic.
De exemplu:
– update-urile de securitate pentru aplicatiile folosite si pentru sistemul de operare sa fie instalate de indata ce devin disponibile. De obicei, aceste update-uri rezolva vulnerabilitati cunoscute, dar si vulnerabilitati de tipul “zero day” pentru care nu exista o rezolvare anterioara si sunt singura metoda de protectie in fata unor atacuri ce exploateaza astfel de vulnerabilitati;
– stocarea informatiilor sensibile intr-o maniera securizata, prin criptarea stick-urilor de memorie sau a harddisk-urilor; intotdeauna, informatia trebuie securizata de ochii “curiosilor”, indiferent ca este informatie in repaus sau in miscare;
– instalarea unui software de end point protection, aici discutia este lunga si poate fi cu usurinta subiectul unui articol de sine statator, insa dispozitivul trebuie sa fie securizat de un firewall care sa opreasca atacurile bazate pe conexiunea la retea si de o solutie de tipul antivirus/antispyware (AV/AS), care sa tina la distanta malware-ul, sub toate formele sale;
– folosirea unui cont de utilizator cu acces limitat si privilegii suficiente atat cat utilizatorul sa isi poata desfasura activitatea de zi cu zi; pentru task-uri care necesita privilegii de administrator, ca instalarea de software, este recomandat sa se foloseasca un alt cont. Se limiteaza astfel posibilitatea atacatorului de a putea face “privilege escalation” in cazul in care dispozitivul este compromis;
– impunerea unei metode de autentificare inainte de a putea accesa dispozitivul: username si parola, amprementa sau PIN/parola pentru dispozitivele mobile; de asemenea, functia de screen lock / session lock trebuie sa fie activa: daca dispozitivul nu a fost folosit pentru un anumit numar de minute, acesta sa fie blocat. Pentru a putea folosi din nou dispozitivul, utilizatorul trebuie sa se autentifice, lucru foarte important daca dispozitivul este furat;
– folosirea unui sistem de mobile device management (MDM) pentru controlul dispozitivelor mobile, atat atunci cand acestea sunt conectate la reteaua companiei on-premises, cat si cand sunt conectate remote. O astfel de solutie este capabila sa detecteaze daca un device a fost rootat sau “jailbroken”, sa activeze tehnologiile de criptare disponibile pe device pentru a securiza datele stocate (unele solutii de MDM pot chiar “partitiona” device-ul atunci cand acesta este conectat la reteaua companiei) sau de a face o resetare completa a device-ului daca acesta este pierdut sau furat.
– implementarea functiei de logging, care la un minim ofera infomatii despre cine, cum, cand, de unde si de pe ce device a fost accesata reteaua organizatiei; aceste informatii pot fi folosite in procese de auditare si sunt absolut esentiale in radiografierea unui eventual atac cibernetic suferit de companie.
Prin serviciile de auditare oferite de Dendrio, organizatia poate identifica tintele posibile pe care un atacator le-ar considera interesante, poate adresa vulnerabilitatile existente si poate oferi un mediu de lucru protejat de amenintarile cibernetice atat de frecvente astazi.
Mihai Dumitrascu, Sr Systems Engineer